Когда-то защита локальной сети для домашних пользователей была достаточно тривиальной. Всё было просто! К каналу с ADSL подключали несколько рабочих станций по «витой паре» через маршрутизатор, и на каждый из компьютеров ставили антивирус. Вот и всё, оставалось лишь следить за обновлениями софта. Но прошло 10 лет и ситуация полностью изменилась. В современном доме множество гаджетов пытается выйти в Интернет! От умных часов с WiFi - до локальных сетевых хранилищ с торрент-клиентами. От традиционных ПК - до аудиосистем Hi-End с сетевыми мостами. И от 4G-смартфонов - до крохотных Ethernet-модулей для управления «умным домом»! Добавим сюда вероятные уязвимости домашнего сетевого оборудования - и получим целый зоопарк разнородных устройств, нуждающихся в квалифицированном присмотре (который раньше требовался только предприятиям).
А может махнём рукой на настройку сети и безопасность?
Сразу отметим, что вопросы безопасности лучше не игнорировать. Ведь «дыры» в современной домашней сети могут привести к многочисленным проблемам:
- Если вы проводите платежи, скажем, через Smart TV, и его взломают, с вашей кредитки могут исчезнуть все деньги;
- Если злоумышленник получит доступ к NAS, то может, в перспективе, шантажировать вас вашим же контентом, не предназначенным для чужих глаз. В Интернете уже были посты от пострадавших россиян;
- Получив доступ к вашему мощному ПК, злоумышленник может украсть аккаунт для одной или нескольких игр, и продать их «оптом и в розницу»;
- Также на вашем ПК могут считать биткойны (что вступает в конфликт с законом);
- Может очень сильно пострадать ваш имидж в соцсетях;
- Получив доступ к фитнес-гаджету, можно узнать практически всё о вашей «outdoor activity», что может не понравиться, скажем, женщинам или бизнесменам;
- Заразив смартфон или ноутбук, преступники могут незаметно пользоваться его веб-камерой или записывать звук;
- «Заболевший» гаджет или ноутбук может войти в состав ботнета, и затем, за массовую рассылку спама, вас может отключить провайдер Интернета;
- Злоумышленники могут «тупо» заблокировать устройство, а файлы с данными зашифровать. И всё - если нет бэкапов, с уникальной информацией можно попрощаться;
- О том, что можно делать с «умным домом», управляя, скажем, водой, электроснабжением или цифровыми замками из другой части света, всё понятно без особых разъяснений;
- И хуже этого, пожалуй, лишь взломанный «умный автомобиль».
Защищаем локальную сеть как подводную лодку
TechnoDrive, разумеется, ничего нового не придумал. Всё давно изобретено и отработано на практике. Мы рекомендуем защищать домашнюю локальную сеть шаг за шагом, как отсеки в подводной лодке.
Первый шаг: отделить устройства друг от друга. Для этой цели сами собой напрашиваются коммутаторы с физической изоляцией портов . Если устройства не видят друг друга по локальной сети, они не смогут «потопить» один другого, даже если хакеры «подобьют», скажем, Smart TV, и он станет «активно интересоваться» всем своим окружением.
Минус: файлы придётся переносить на флешке. Плюс: заражённая windows-машина или android-гаджет не смогут сканировать другие ваши устройства (не говоря об их взломе).
Внимание! Представители вендоров (Александр Щаднев, D-Link Ростов-на-Дону) считают, что физическое разделение портов в данном случае будет чрезмерным, поскольку лишит локальную сеть всей привлекательности в плане передачи данных между её устройствами. Однако эксперт отмечает, что другие решения, в частности, управляемые коммутаторы с ACL или многопортовые сетевые экраны могут оказаться для обычного пользователя слишком сложными в настройке. Полная версия мнения экспертов D-Link доступна по ссылке.
Как настроить WiFi?
Разнообразие домашних и портативных гаджетов делает домашний WiFi всё более популярным. Однако беспечному владельцу в данном случае грозят не только несанкционированные подключения соседей и прохожих на улице. Зловредам давно известны заводские настройки оборудования и они весьма активно используются троянами (список наиболее часто упоминаемых моделей приводить не будем). Поэтому нелишне будет напомнить правила безопасности для WiFi:
- Выбирайте сетевую аутентификацию, как минимум, уровня WPA2-PSK (шифрование AES);
- Используйте действительно длинный и сложный пароль со спецсимволами и пробелами, цифрами и различным регистром букв. Да, вводить его будет сложно, особенно, если нет нормальной клавиатуры, но это всего лишь 1 раз (для каждого гаджета);
- Поменяйте заводской пароль на роутере, он также должен быть очень длинным и сложным. Не храните его в браузерах! Меняйте прошивку роутера на свежие версии с сайта производителя!
- MAC-идентификация не идеальна, но она тоже необходима. Пускайте в беспроводную сеть только устройства по белому списку MAC-адресов. MAC-адрес легко отыскать даже в умных телевизорах;
- Настройте мощность сигнала передатчика (TX-мощность): уменьшите её, насколько это возможно;
- Активируйте «изоляцию клиентов» (это своего рода аналог физической изоляции портов, но для беспроводной сети);
- Отключайте WiFi, когда он вам не нужен.
Рабочие станции Ubuntu - это командные рубки домашней сети
Как ни крути, но удобнее всего работать именно на рабочих станциях. Причина очевидна: системные блоки старой закалки мощные, многофункциональные и обладают прекрасной эргономикой органов управления (aka клавиатура и мышь). Да и с экраном там проблем нет, можно подключить даже несколько. Поэтому рабочие станции нужно защищать наиболее тщательно, и рецепт здесь простой: ставьте на них Ubuntu .
Пара слов на эту тему. Не бойтесь пингвина, он уже давно не кусается! И, хотя пару лет назад определённой проблемой был с Windows на Ubuntu, сейчас, с развитием технологий хранения данных в соцсетях облаках, вопрос этот отпал сам собой.
С другой стороны, конечно, многие не сразу осваивают версию Ubuntu 14.04. Но там достаточно знать волшебное сочетание клавиш «Alt+Ё» (тогда вы сможете переключаться, скажем, между множеством открытых документов в LibreOffice, - или жонглировать открытыми письмами в почтовом клиенте, - без ярких эпитетов в адрес Canonical).
Всё остальное, включая графические пакеты, видеоплееры, звуковые редакторы, мессенджеры, браузеры, средства разработки, ридеры и прочее, есть в «Центре приложений Ubuntu» (без вирусов, разумеется, и совершенно бесплатно).
Для компьютерных игр же нужно закачать Steam, также из центра приложений «Убунту». Если есть финансовая возможность, - и вы любите Apple, - также рекомендуем использовать OS X, поскольку она является сертифицированной версией Unix. И, теоретически, «залететь» там можно разве что на «левых пакетах» (первыми напрашиваются потенциально «дырявый» Adobe Flash Player и злосчастная Java, а также, конечно, неизвестно откуда залитое ПО), - а также на фишинге (хотя тот вообще не зависит от ОС).
Если вы предпочитаете оставаться на , у нас есть рекомендации и для неё.
Ну а как защитить смартфоны и планшеты?
Если вы используете гаджет для бизнеса, ставьте туда как можно меньше приложений и используйте надёжный антивирус (последний, как правило, не бесплатен, но пренебрегать защитой смартфона и планшета мы категорически не советуем). Также активируйте приложения, помогающие дистанционно искать и блокировать устройства, - а также удалять с них конфиденциальную информацию. Но не верьте им на 100%, как показала практика, работают они порой непредсказуемо.
Как защитить то, на что вообще нет новых прошивок?
Это самый трудный вопрос, но для него и нужна физическая изоляция портов, а также разделение беспроводных WiFi-клиентов! Ведь никто не знает, чем и как именно может заразиться ваш новый фотоаппарат с поддержкой WiFi, сканер с функцией PIXMA Cloud Link (а это прямой доступ в соцсети!) или сверхбюджетный планшет, пришедший из Китая.
Поэтому, по умолчанию, все подобные «закрытые» устройства проще считать уже заражёнными. Поэтому не стоит вставлять в них флешки с критичной инфой вместе с любимым сериалом; фотографировать ими то, что снимать нежелательно, - и уж точно, не активировать беспроводные функции без особой необходимости [в кафе с беспроводным незащищённым доступом].
Вирус в роутере - это хуже всего!
Мы уже упоминали о том, что для роутера нужен очень длинный и сложный пароль, и что его нельзя хранить в браузере. Если же роутер окажется заражён, то при заходе на сайт банка (к примеру), вы можете попасть на страничку-клон, созданную мошенниками (это делается через подмену DNS). И лишитесь, соответственно, всех денег на счёте, как только введёте пароль. О том, как лечить и защищать , рекомендуем прочитать в публикации TechnoDrive за январь.
О чём мы забыли рассказать, но вспомнили в последний момент?
Напоследок ещё несколько полезных советов от экспертов TechnoDrive:
- Храните копии важных файлов на носителях, откуда их нельзя стереть электронным путём (лучше выбрать DVD, флешки очень недолговечны). Причём это касается и контакт-листов смартфонов!
- Не загружайте «левый софт», против него не поможет даже Linux (особенно, если поставить пакет под рутом, - или же запустить «страшную» команду в терминале, работу которой вы совершенно не понимаете);
- Не давайте телефоны «позвонить» на улице незнакомым людям (если случай неотложный, позвоните со своего смартфона сами);
- Перед тем, как выбросить или продать старый смартфон или планшет, тщательно очистите его память. Это же относится и к старым ПК, поскольку есть любители восстанавливать старые жёсткие диски (материалы потом иногда попадают в Интернет). Лучше использовать для этого специальные утилиты;
- Поглядывайте периодически на станционный список роутера и на то, какие индикаторы на нём мигают. Всплески бурной активности тех или иных портов могут навести на интересные мысли...
- Не оставляйте свои гаджеты без присмотра даже на короткое время;
- Если всё-таки необходимо записать пароль на бумаге (или в файле с совершенно абстрактным именем), добавляйте туда лишние символы, которые сможете найти и удалить только вы сами;
- Если нет острой необходимости в беспроводной связи на том или ином устройстве, не используете её;
- Чем меньше ваших устройств подключено к сети, тем лучше. Это пожалуй, абсолютная истина, всю справедливость которой ещё покажет «во всей своей красе» надвигающийся «Интернет вещей».
Удачного плавания!
Чуть не забыли: у TechnoDrive есть группа - и на . Подключайтесь!
|
|
ПНСТ301-2018/ИСО/МЭК 24767-1:2008
ПРЕДВАРИТЕЛЬНЫЙ НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙФЕДЕРАЦИИ
Информационные технологии
БЕЗОПАСНОСТЬ ДОМАШНЕЙ СЕТИ
Требования безопасности
Information technology. Home network security. Part 1.Security requirements
ОКС 35.110, 35.200,35.240.99
Срокдействия с 2019-02-01
Предисловие
Предисловие
1ПОДГОТОВЛЕН Федеральным государственным бюджетным образовательнымучреждением высшего образования "Российский экономическийуниверситет им.Г.В.Плеханова" (ФГБОУ ВО "РЭУ им.Г.В.Плеханова") наоснове собственного перевода на русский язык англоязычной версиимеждународного стандарта, указанного в пункте 4
2ВНЕСЕН Техническим комитетом по стандартизации ТК 22"Информационные технологии"
3УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства потехническому регулированию и метрологии от 4 сентября 2018 г. N38-пнст
4Настоящий стандарт идентичен международному стандарту ИСО/МЭК24767-1:2008* "Информационные технологии. Безопасность домашнейсети. Часть 1. Требования безопасности" (ISO/IEC 24767-1:2008,"Information technology - Home network security - Part 1: Securityrequirements", IDT)
________________
*Доступ к международным и зарубежным документам, упомянутым здесь идалее по тексту, можно получить, перейдя по ссылке на сайт. - Примечаниеизготовителя базы данных.
Правила применениянастоящего стандарта и проведения его мониторинга установлены в ГОСТ Р 1.16-2011 (разделы 5 и6).
Федеральное агентствопо техническому регулированию и метрологии собирает сведения опрактическом применении настоящего стандарта. Данные сведения, атакже замечания и предложения по содержанию стандарта можнонаправить не позднее чем за 4 мес до истечения срокаего действия разработчику настоящего стандарта по адресу: 117997Москва, Стремянный переулок, д.36, ФГБОУ ВО "РЭУ им.Г.В.Плеханова " и в Федеральное агентство потехническому регулированию и метрологии по адресу: 109074Москва, Китайгородский проезд, д.7, стр.1.
В случае отменынастоящего стандарта соответствующая информация будет опубликованав ежемесячном информационном указателе "Национальные стандарты" итакже будет размещена на официальном сайте Федерального агентствапо техническому регулированию и метрологии в сети Интернет(www.gost.ru )
Введение
ИСО (Международнаяорганизация по стандартизации) и МЭК (Международнаяэлектротехническая комиссия) образуют специализированную системувсемирной стандартизации. Государственные органы, являющиесячленами ИСО или МЭК, участвуют в разработке международныхстандартов посредством технических комитетов. Участие в разработкестандарта в конкретной области может принять любой заинтересованныйорган, являющийся членом ИСО или МЭК. Другие международныеорганизации, правительственные и неправительственные,контактирующие с ИСО и МЭК, также принимают участие в работе.
Вобласти информационных технологий ИСО и МЭК учредили Объединенныйтехнический комитет ИСО/МЭК СТК 1. Проекты международныхстандартов, подготовленные Объединенным техническим комитетом,рассылаются национальным комитетам на голосование. Публикация вкачестве международного стандарта требует утверждения не менее чем75% национальных комитетов, участвующих в голосовании.
Официальные решения илисоглашения МЭК и ИСО по техническим вопросам выражают, насколькоэто возможно, международное согласованное мнение по относящимся кделу вопросам, так как каждый технический комитет имеетпредставителей от всех заинтересованных национальных комитетов -членов МЭК и ИСО.
Публикации МЭК, ИСО иИСО/МЭК имеют форму рекомендаций для международного использования ипринимаются национальными комитетами - членами МЭК и ИСО именно втаком понимании. Несмотря на все приложенные усилия для обеспеченияточности технического содержания публикаций МЭК, ИСО и ИСО/МЭК, МЭКили ИСО не несут ответственности за то, каким образом онииспользуются или за их неправильную трактовку конечнымпользователем.
Вцелях обеспечения международной унификации (единой системы)национальные комитеты МЭК и ИСО обязуются обеспечить максимальнуюпрозрачность применения международных стандартов МЭК, ИСО иИСО/МЭК, насколько это позволяют государственные и региональныеусловия данной страны. Любое расхождение между публикациями ИСО/МЭКи соответствующими национальными или региональными стандартамидолжно быть четко обозначено в последних.
ИСО и МЭК непредусматривают процедуры маркировки и не несут ответственности залюбое оборудование, заявленное на соответствие одному из стандартовИСО/МЭК.
Все пользователи должныудостовериться в использовании последнего издания настоящейпубликации.
МЭК или ИСО, ихруководство, сотрудники, служащие или представители, включаяотдельных экспертов и членов их технических комитетов, а такжечлены национальных комитетов МЭК или ИСО не несут ответственностиза несчастные случаи, материальный ущерб или иной нанесенный ущерб,прямой или косвенный, или за затраты (включая судебные издержки),понесенные в связи с публикацией или вследствие использованиянастоящей публикации ИСО/МЭК или другой публикации МЭК, ИСО илиИСО/МЭК.
Особого внимания требуетнормативная документация, цитируемая в настоящей публикации.Использование ссылочных документов необходимо для правильногоприменения настоящей публикации.
Обращается внимание нато, что некоторые элементы настоящего международного стандартамогут быть объектом патентных прав. ИСО и МЭК не несутответственности за определение какого-либо или всех таких патентныхправ.
Международный стандартИСО/МЭК 24767-1 был разработан Подкомитетом 25 "Взаимосвязьоборудования информационных технологий" Объединенного техническогокомитета ИСО/МЭК 1 "Информационные технологии".
Перечень всех имеющихся внастоящее время частей серии ISO/МЭК 24767 под общим названием"Информационные технологии. Безопасность домашней сети" представленна сайте МЭК.
1Область применения
Настоящий стандартопределяет требования к защите домашней сети от внутренних иливнешних угроз. Стандарт служит основанием для разработки систембезопасности, защищающих внутреннюю среду от различных угроз.
Требования безопасностирассматриваются в настоящем стандарте относительно неформально.Несмотря на то, что многие вопросы, рассмотренные в настоящемстандарте, служат руководством по разработке систем безопасностикак внутренней сети, так и сети Интернет, они носят характернеофициальных требований.
Квнутренней (домашней) сети подключены различные устройства (см.рисунок 1). Устройства "сети бытовых приборов", "развлекательныеаудио-/видео-" устройства и устройства для работы с"информационными приложениями" имеют различные функции и рабочиехарактеристики. Настоящий стандарт содержит средства для анализарисков по каждому подключенному к сети устройству и определениятребований безопасности для каждого устройства.
2Термины, определения и сокращения
2.1Термины и определения
Внастоящем стандарте применены следующие термины и определения:
2.1.1 бытоваяэлектроника (brown goods): Аудио-/видеоустройства, которые восновном используются в развлекательных целях, например телевизорили DVD-рекордер.
2.1.2конфиденциальность (confidentiality): Свойство,обеспечивающее недоступность и неразглашение информациинеуполномоченным лицам, организациям или процессам.
2.1.3 аутентификацияданных (data authentication): Служба, используемая дляобеспечения корректной верификации заявленного источникаданных.
2.1.4 целостностьданных (data integrity): Свойство, подтверждающее, что данныене были изменены или уничтожены неразрешенным образом.
2.1.5 аутентификацияпользователя (user authentication): Сервис для обеспечениякорректной проверки идентификационной информации, представленнойучастником коммуникации, при том что служба авторизацииобеспечивает доступ идентифицированного и авторизованногопользователя к конкретному устройству или приложению домашнейсети.
2.1.6 бытоваятехника (white goods): Устройства, применяемые в повседневномобиходе, например кондиционер, холодильник и т.д.
2.2Сокращения
Внастоящем стандарте использованы следующие сокращения:
3Соответствие
Внастоящем стандарте содержатся методические указания без каких-либотребований соответствия.
4Требования безопасности внутренних домашних электронных систем исетей
4.1Общие положения
Сбыстрым развитием Интернета и связанных с ним сетевых технологийпоявилась возможность установки связи между компьютерами в офисах идомах с внешним миром, что обеспечивает доступ ко множествуресурсов. Сегодня технологии, которые стали основой этого успеха,достигли наших домов и обеспечивают возможность подключенияприборов так же, как и персональных компьютеров. Таким образом, онине только позволяют пользователям отслеживать и контролировать своибытовые приборы, находясь как внутри, так и вне дома, но исоздавать новые сервисы и возможности, например удаленноеуправление бытовой техникой и ее обслуживание. Это означает, чтообычная компьютерная среда дома преобразуется во внутреннююдомашнюю сеть, объединяющую множество устройств, безопасностькоторых также будет необходимо обеспечить.
Необходимо, чтобы жильцы,пользователи и владельцы как дома, так и системы, доверяли домашнейэлектронной системе. Цель безопасности домашней электронной системы- обеспечение доверия к системе. Поскольку многие компонентыдомашней электронной системы находятся в работе непрерывно, 24 часав день, и автоматически обмениваются информацией с внешним миром,информационная безопасность необходима для обеспеченияконфиденциальности, целостности и доступности данных и системы.Надлежащим образом реализованное решение по безопасностиподразумевает, например, что доступ к системе и сохраненным,поступающим и исходящим данным получают только авторизованныепользователи и процессы, и что пользоваться системой и вносить внее изменения могут только авторизованные пользователи.
Требования безопасностидля сети HES могут быть описаны несколькими способами. Этотстандарт ограничен ИТ-безопасностью сети HES. Тем не менее,безопасность информационных технологий должна выходить за рамкисамой системы, поскольку дом должен функционировать, хотя и сограниченными возможностями, в случае отказа ИТ-системы.Интеллектуальные функции, которые обычно поддерживаются сетью HES,могут выполняться также при разрыве связей системы. В таких случаяхможно понять, что существуют требования безопасности, которые немогут быть частью самой системы, но при этом система не должназапрещать реализацию резервных решений.
Существует ряд лиц,заинтересованных в вопросах безопасности. Домашней электроннойсистеме должны доверять не только жители и владельцы, но ипровайдеры услуг и контента. Последние должны быть уверены, чтопредлагаемые ими услуги и контент используются только разрешеннымспособом. Однако одной из основ безопасности системы является то,что отвечать за нее должен конкретный администратор службыбезопасности. Очевидно, что такая ответственность должна бытьвозложена на жителей (владельцев системы). Не имеет значения,занимается ли этим администратор лично или отдает на аутсорсинг. Влюбом случае ответственность несет администратор системыбезопасности. Вопрос доверия провайдеров услуг и контента кдомашней электронной системе и их уверенности в том, чтопользователи применяют их услуги и контент надлежащим образом,определяется договорными обязательствами между сторонами. Вдоговоре, например, могут быть перечислены функции, компоненты илипроцессы, которые должна поддерживать домашняя электроннаясистема.
Архитектура домашнейэлектронной системы различна для разных видов домов. Для любоймодели может существовать свой определенный набор требованийбезопасности. Ниже приведено описание трех различных моделейдомашних электронных систем с различными наборами требованийбезопасности.
Очевидно, что некоторыетребования безопасности более важны, чем остальные. Таким образом,понятно, что поддержка некоторых мер противодействия будетопциональной. Кроме того, меры противодействия могут различаться покачеству и стоимости. Также для управления и поддержания таких мерпротиводействия могут потребоваться различные навыки. В данномстандарте сделана попытка разъяснить мотивы перечисленныхтребований безопасности и тем самым позволить разработчикамдомашней электронной системы определить, какие функции безопасностидолжна поддерживать конкретная домашняя система, а также, с учетомтребований по качеству и усилий по обеспечению управления иобслуживания, какой механизм следует выбрать для таких функций.
Требования безопасностивнутренней сети зависят от определения безопасности и "дома", атакже от того, что понимается под "сетью" в этом доме. Если сеть -это просто канал, соединяющий отдельный ПК с принтером иликабельным модемом, то для обеспечения безопасности домашней сетидостаточно обеспечить безопасность этого канала и оборудования,которое он соединяет.
Однако если в доменаходятся десятки, если не сотни, объединенных в сеть устройств,при этом некоторые из них относятся к домохозяйству в целом, анекоторые принадлежат находящимся в доме людям, понадобитсяпредусмотреть более сложные меры безопасности.
4.2Безопасность домашней электронной системы
4.2.1 Определениедомашней электронной системы и безопасности системы
Домашнюю электроннуюсистему и сеть можно определить как набор элементов, которыеобрабатывают, передают и хранят информацию, а также управляют ею,обеспечивая связь и интеграцию множества компьютерных устройств, атакже устройств управления, контроля и связи, находящихся вдоме.
Кроме того, домашниеэлектронные системы и сети обеспечивают взаимосвязь развлекательныхи информационных устройств, а также приборов связи и безопасности,и имеющейся в доме бытовой техники. Такие устройства и приборыбудут обмениваться информацией, ими можно управлять иконтролировать их, находясь в доме, либо удаленно. Соответственно,для всех внутренних домашних сетей потребуются определенныемеханизмы безопасности, защищающие их повседневную работу.
Безопасность сети иинформации можно понимать как способность сети или информационнойсистемы на определенном уровне противостоять случайным событиям илизлонамеренным действиям. Такие события или действия могут поставитьпод угрозу доступность, аутентичность, подлинность иконфиденциальность сохраненных или переданных данных, а такжесвязанных с ними сервисов, предлагаемых через такие сети исистемы.
Инциденты информационнойбезопасности можно объединить в следующие группы:
Электронное сообщение может быть перехвачено, данные могут бытьскопированы или изменены. Это может стать причиной ущерба,причиненного как путем нарушения права личности наконфиденциальность, так и путем злоупотребления перехваченнымиданными;
Несанкционированный доступ к компьютеру и внутренним компьютернымсетям обычно выполняется со злым умыслом на копирование, изменениеили уничтожение данных и может распространяться на автоматическоеоборудование и системы, находящиеся в доме;
Вредоносные атаки в сети Интернет стали вполне обычным явлением, ав будущем более уязвимой может также стать телефонная сеть;
Вредоносное программное обеспечение, такое как вирусы, можетвыводить из строя компьютеры, удалять или изменять данные, либоперепрограммировать бытовую технику. Некоторые атаки вирусов быливесьма разрушительными и дорогостоящими;
Искажение информации о физических или юридических лицах может статьпричиной значительного ущерба, например клиенты могут скачатьвредоносное программное обеспечение с веб-сайта, маскирующегося поддоверенный источник, могут быть расторгнуты контракты, аконфиденциальная информация может быть направлена ненадлежащимполучателям;
Многие инциденты информационной безопасности связаны снепредусмотренными и непреднамеренными событиями, напримерстихийными бедствиями (наводнениями, штормами и землетрясениями),отказами аппаратного или программного обеспечения, а также счеловеческим фактором.
Правила информационной безопасности в данном случае должен соблюдать как провайдер, так и его клиент. Иными словами, существуют две точки уязвимости (на стороне клиента и на стороне провайдера), причем каждый из участников этой системы вынужден отстаивать свои интересы.
Взгляд со стороны клиента
Для ведения бизнеса в электронной среде требуются высокоскоростные каналы передачи данных, и если раньше основные деньги провайдеров делались на подключении к Internet, то сейчас клиенты предъявляют довольно жесткие требования к защищенности предлагаемых услуг.
На Западе появился целый ряд аппаратных устройств, обеспечивающих защищенное подключение к домашним сетям. Как правило, они так и называются «решениями SOHO» и совмещают в себе аппаратный межсетевой экран, концентратор с несколькими портами, DHCP-сервер и функции VPN-маршрутизатора. Например, именно по такому пути пошли разработчики Cisco PIX Firewall и WatchGuard FireBox. Программные межсетевые экраны остались только на персональном уровне, причем используются они как дополнительное средство защиты.
Разработчики аппаратных межсетевых экранов класса SOHO считают, что эти устройства должны быть простыми в управлении, «прозрачными» (то есть невидимыми) для пользователя домашней сети и соответствовать по стоимости размеру прямого ущерба от возможных действий злоумышленников. Средняя величина ущерба при успешной атаке на домашнюю сеть оценивается примерно в 500 долл.
Для защиты домашней сети можно использовать и программный межсетевой экран или попросту удалить лишние протоколы и сервисы из конфигурационных настроек. Лучший из вариантов - если провайдер протестирует несколько персональных межсетевых экранов, настроит на них свою собственную систему безопасности и обеспечит их техническое сопровождение. В частности, именно так поступает провайдер 2COM, который предлагает своим клиентам набор протестированных экранов и советы по их настройке. В простейшем случае рекомендуется объявить опасными почти все сетевые адреса, кроме адресов локального компьютера и шлюза, через который устанавливается соединение с Internet. Если программный или аппаратный экран на стороне клиента обнаружил признаки вторжения, об этом требуется незамедлительно сообщить в службу технической поддержки провайдера.
Следует отметить, что межсетевой экран защищает от внешних угроз, но не спасает от ошибок самого пользователя. Поэтому, даже если провайдер или клиент установил некую систему защиты, обе стороны все равно должны соблюдать ряд достаточно простых правил, позволяющих минимизировать вероятность нападений. Во-первых, следует оставлять как можно меньше личной информации в Internet, стараться избегать оплаты кредитными карточками или по крайней мере проверять наличие цифрового сертификата у сервера. Во-вторых, не стоит загружать из Сети и запускать на своем компьютере любые программы, особенно бесплатные. Не рекомендуется также делать локальные ресурсы доступными извне, устанавливать поддержку ненужных протоколов (таких, как IPX или SMB) или использовать настройки по умолчанию (например, скрытие расширений файлов).
Особенно опасно исполнять сценарии, прикрепленные к письмам электронной почты, а лучше вообще не пользоваться Outlook, поскольку большинство вирусов написано именно для этого почтового клиента. В некоторых случаях для работы с электронной почтой безопаснее применять службы Web-mail, поскольку вирусы, как правило, через них не распространяются. Например, провайдер 2COM предлагает бесплатный Web-сервис, позволяющий считывать информацию из внешних почтовых ящиков и загружать на локальную машину только нужные сообщения.
Провайдеры обычно не предоставляют услуги защищенного доступа. Дело в том, что уязвимость клиента зачастую зависит и от его собственных действий, поэтому в случае успешной атаки достаточно сложно доказать, кто именно допустил ошибку - клиент или провайдер. Кроме того, факт нападения еще нужно зафиксировать, а сделать это можно только с помощью проверенных и сертифицированных средств. Оценить ущерб, нанесенный взломом, тоже непросто. Как правило, определяется только его минимальное значение, характеризуемое временем на восстановление штатной работы системы.
Провайдеры могут обеспечить безопасность почтовых служб, проверяя всю входящую корреспонденцию с помощью антивирусных программ, а также блокировав все протоколы, кроме основных (Web, электронной почты, новостей, ICQ, IRC и некоторых других). Операторам не всегда удается проследить, какие события происходят во внутренних сегментах домашней сети, но, поскольку они вынуждены защищаться от внешних нападений (что согласуется и с политикой защиты пользователей), клиентам нужно взаимодействовать с их службами безопасности. Следует помнить, что провайдер не гарантирует абсолютной безопасности пользователей - он лишь преследует собственную коммерческую выгоду. Часто атаки на абонентов связаны с резким всплеском объема передаваемой им информации, на чем, собственно говоря, и зарабатывает деньги оператор. Это значит, что интересы провайдера иногда могут противоречить интересам потребителя.
Взгляд со стороны провайдера
Для провайдеров услуг домашних сетей основными проблемами являются несанкционированное подключение и большой внутренний трафик. Домашние сети часто служат для проведения игр, которые не выходят за пределы локальной сети одного жилого дома, но могут привести к блокировке целых ее сегментов. В этом случае работать в Internet становится сложно, что вызывает справедливое недовольство коммерческих клиентов.
С точки зрения финансовых затрат провайдеры заинтересованы в минимизации средств, используемых для обеспечения защиты и контроля домашней сети. Вместе с тем они не всегда могут организовать должную защиту клиента, поскольку для этого требуются определенные затраты и ограничения и со стороны пользователя. К сожалению, с этим согласны далеко не все абоненты.
Обычно домашние сети устроены следующим образом: есть центральный маршрутизатор, имеющий канал доступа в Internet, а к нему подключается разветвленная сеть квартала, дома и подъезда. Естественно, маршрутизатор выполняет функции межсетевого экрана, отделяющего домашнюю сеть от остального Internet. Он реализует несколько механизмов защиты, но наиболее часто используется трансляция адресов, которая позволяет одновременно скрыть внутреннюю инфраструктуру сети и сэкономить реальные IP-адреса провайдера.
Впрочем, некоторые провайдеры выдают своим клиентам именно реальные IP-адреса (например, так происходит в сети микрорайона «Митино», которая подключена к московскому провайдеру «МТУ-Интел»). В этом случае пользовательский компьютер становится доступным из Internet напрямую, поэтому его сложнее защитить. Неудивительно, что бремя обеспечения информационной защиты полностью ложится на абонентов, а у оператора остается единственный способ контроля за их действиями - по IP- и MAC-адресам. Однако современные Ethernet-адаптеры позволяют программно изменить оба параметра на уровне операционной системы, и провайдер оказывается беззащитным перед недобросовестным клиентом.
Конечно для некоторых приложений необходимо выделение реальных IP-адресов. Выдавать же реальный статический IP-адрес клиенту достаточно опасно, поскольку, если сервер с этим адресом будет успешно атакован, через него станет доступной и остальная часть внутренней сети.
Одним из компромиссных решений проблемы безопасного использования IP-адресов в домашней сети является внедрение технологии VPN, объединенной с механизмом динамического распределения адресов. Вкратце схема такова. От клиентской машины до маршрутизатора устанавливается кодированный туннель, задействующий по протоколу PPTP. Поскольку этот протокол поддерживается ОС Windows начиная с 95-й версии, а сейчас реализован и для других операционных систем, от клиента не требуется инсталляции дополнительного ПО - нужна лишь настройка уже инсталлированных компонентов. Когда пользователь подключается к Internet, он вначале устанавливает соединение с маршрутизатором, затем авторизуется, получает IP-адрес и только после этого может приступать к работе в Internet.
Указанный тип подключения эквивалентен обычному коммутируемому соединению с той разницей, что при его инсталлировании можно установить практически любую скорость. Работать по этой схеме будут даже вложенные подсети VPN, которые могут задействоваться для удаленного подключения клиентов к корпоративной сети. Во время каждого пользовательского сеанса провайдер динамически выделяет либо реальный, либо виртуальный IP-адрес. К слову, у 2COM реальный IP-адрес стоит на 1 долл. в месяц дороже, чем виртуальный.
Для реализации VPN-соединений 2COM разработал собственный специализированный маршрутизатор, который выполняет все перечисленные выше функции плюс тарификацию услуг. Следует отметить, что шифрование пакетов возложено не на центральный процессор, а на специализированный сопроцессор, что позволяет одновременно поддерживать до 500 виртуальных каналов VPN. Один такой криптомаршрутизатор в сети 2COM служит для подключения сразу нескольких домов.
В целом наилучшим способом защиты домашней сети является тесное взаимодействие провайдера и клиента, в рамках которого каждый имеет возможность отстаивать свои интересы. На первый взгляд методы защиты домашней сети кажутся аналогичными тем, которые используются для обеспечения корпоративной безопасности, но на самом деле это не так. В компаниях принято устанавливать достаточно жесткие правила поведения сотрудников, придерживаясь заданной политики информационной безопасности. В домашней сети такой вариант не проходит: каждому клиенту требуются свои сервисы и составить общие правила поведения удается далеко не всегда. Следовательно, построить надежную систему защиты домашней сети гораздо сложнее, чем обеспечить безопасность корпоративной сети.
Когда я просматривал статистику поисковой системы Яндекс, то обратил внимание, что запрос: "Безопасность домашней сети" - запрашивается лищь 45 раз в месяц, что, скажем прямо, довольно прискорбно.
Чтобы не быть голословным, хочу рассказать одну занимательную историю из своей жизни. Некоторое время назад ко мне зашел сосед, который решил приобщиться к современной жизни и приобрел себе ноутбук, маршрутизатор, ну и озаботился тем, чтобы подключиться к сети интернет.
Маршрутизатор сосед купил марки D-Link DIR-300-NRU , а у этой модели имеется такая особенность. По умолчанию, в качестве имени беспроводной сети (SSID), он использует название бренда. Т.е. в списке доступных сетей обнаруживается сеть с именем dlink. Дело в том, что большинство производителей "зашивают" в настройки название сети в виде марки и модели (например, Trendnet-TEW432 и т.п.).
Так вот, увидел я в списке сетей dlink и сразу же к нему подключился. Сразу же оговорюсь, что любой маршрутизатор (кроме Wi-Spotов и прочей экзотики, которая не имеет сетевых проводных интерфейсов RJ-45) обязательно нужно настраивать, подключившись к нему по проводу. На практике, я могу сказать, что можно и по Wi-Fi настраивать, но только не перепрошивать, - перепрошивать только по проводу, а иначе есть вероятность его серьёзно повредить . Хотя, если бы я вёл настройку маршрутизатора по проводу, то этого курьёза бы не произошло и не было бы этой истории.
Я подключаюсь к сети dlink, начинаю настраивать - меняю SSID, задаю ключ шифрования, определяю диапазон адресов, канал вещания и т.п., перезапускаю маршрутизатор и только тут до меня доходит то, что уж больно какой-то неуверенный приём, хотя маршрутизатор рядом стоит.
Да, действительно, я подключился к чужому открытому маршрутизатору и настроил его, как надо. Естественно, я сразу же вернул все настройки к исходным, чтобы владельцы маршрутизатора не расстраивались и уже настроил целевой маршрутизатор, как надо. Но, при всём при этом, могу сказать, что этот маршрутизатор до сих пор так и стоит незашифрованный и к нему может прицепиться любой желающий. Так вот, чтобы избежать таких вот ситуаций, настраиваем беспроводной маршрутизатор и читаем дальше про безопасность домашней сети .
Давайте рассмотрим, какие элементы как аппаратные, так и программные, являются защитниками сети, а какие - потенциальными брешами, включая, кстати, и человеческий фактор . Но, обо всём по порядку.
Мы не будем рассматривать, каким образом интернет приходит к вам в дом - нам достаточно понимания того, что он приходит.
И вопрос - приходит куда? На компьютер? На маршрутизатор? На беспроводную точку доступа?
Мы не будем рассматривать, каким образом интернет приходит к вам в дом - нам достаточно понимания того, что он приходит. А, между тем, это вопрос очень и очень важный и вот почему. Каждое из вышеперечисленных устройств имеет свою степень защиты от различных хакерских атак и несанкционированного доступа.
Первое место по уровне защиты от сетевых атак можно смело отдать такому устройству, как маршрутизатор (его ещё иногда называют "роутер" - это то же самое, только по-английски - Router - маршрутизатор). Аппаратную защиту "пробить" гораздо сложнее, хоть и нельзя сказать, что невозможно. Но об этом позже. Существует такая народная мудрость, которая гласит: "Чем устройство проще - тем оно надёжней" . Т.к. маршрутизатор - гораздо более простое устройство и более узкоспециализированное, то оно, конечно, надёжней.
На втором месте по уровню защиты от сетевых атак - компьютер, оснащённый различными защитными программными средствами (межсетевыми экранами, которые так же называются FireWall - дословный перевод - Огненная стена. В ОС Windows XP и более поздних этот сервис называется Брандмауэр). Функционал примерно тот же, но появляется возможность реализации двух функций, которые чаще всего невозможно сделать средствами маршрутизатора, а именно - отслеживание посещения пользователями сайтов и ограничение доступа к определенным ресурсам. Конечно, в домашних условиях такой функционал чаще всего не требуется или легко реализуется с использованием бесплатных сервисов, например, Яндекс.DNS, если вам требуется оградить своего ребёнка от нехорошего контента. Конечно, на компьютере-шлюзе иногда имеется такой приятный функционал, как "проточный" антивирус, который умеет анализировать проходящий трафик, но это не является поводом к тому, чтобы отказываться от антивируса на компьютерах-клиентах, т.к. вирус на всякий случай может прилететь в файле-архиве с паролем, а туда антивирусу никак не попасть, пока вы его не вскроете.
Беспроводная точка доступа - это прозрачный в обе стороны шлюз, через который может прилететь что угодно, поэтому использовать точки доступа имеет смысл только в сетях, защищенных аппаратным или программным файрволом (маршрутизатором или компьютером с установленным специализированным ПО).
Чаще всего в домашней сети используются беспроводные маршрутизаторы, которые оборудованы четырьмя портами для подключения компьютеров по проводу и радиомодулем, выполняющим функцию точки доступа. В этом случае сеть имеет следующий вид:
Здесь мы наглядно видим, что главный защитник нашей сети от хакерских атак - маршрутизатор, однако это не говорит о том, что вы можете чувствовать себя в абсолютной безопасности.
Функция файрвола маршрутизатора состоит в том, что он транслирует ваши запросы в интернет и полученный ответ возвращает вам. При этом, если информация никем в сети, включая ваш компьютер, не запрашивалась, то файрвол такие данные отфильтровывает, оберегая ваш покой.
Какими методами можно попасть в вашу сеть, защищенную файрволом?
Чаще всего это вирусы-трояны, которые проникают в вашу сеть вместе с зараженными скриптами или скачанными зараженными программами. Нередко вирусы распространяются в виде вложений в электронные письма или ссылок, содержащихся в теле письма (почтовые черви). В частности, так распространяется вирус-червь, который шифрует всю информацию на жестких дисках вашего компьютера, а после этого вымогает деньги за расшифровку.
Что ещё способен сделать вирус, поселившийся на вашем компьютере?
Деятельность вируса может быть самой разнообразной - от "зомбирования" компьютера или воровства данных до вымогательства денег впрямую через блокировку Windows или шифрование всех пользовательских данных.
У меня есть знакомые, утверждающие, что не встречали более бесполезной программы, чем антивирус и прекрасно обходятся без него. Если вы считаете так же, то должен предупредить, что не всегда вирус выдает себя сразу и выдает вообще. Иногда его деятельность состоит в том, чтобы принять участие в DDoS атаке какого-либо узла в интернете. Вам это ничем не грозит кроме того, что вас может заблокировать провайдер и заставить провериться на вирусы. Поэтому, даже, если на вашем компьютере нет важных данных, антивирус, хотя бы бесплатный, лучше поставить.
Если на ваш компьютер проник троян - он может открыть порт, организовать туннель и предоставить своему создателю полную власть над вашим компьютером.
Многие вирусы умеют распространяться по сети, поэтому если вирус попал на один компьютер в сети, существует вероятность его проникновения на другие компьютеры вашей домашней сети
Как уберечь себя от вирусов?
Прежде всего, необходимо установить на каждый компьютер в сети обновляющийся антивирус. В идеале коммерческий, но если с деньгами туго можно использовать бесплатные антивирусы, вроде Avast, Avira, AVG, Microsoft Security Essentials и т.п. Это, конечно, не такая эффективная защита, как у платного антивируса, но лучше уж так, чем вообще без антивируса.
Важно: Между появлением нового вируса и добавлением его описания в антивирусную базу существует некоторый "зазор", длинной от 3 дней до 2-х недель (иногда дольше). Так вот, в это время ваш компьютер может быть потенциально под угрозой заражения вирусом, даже, с обновляющимся антивирусом. Поэтому переходим к следующему этапу, а именно инструкциям, выполняя которые вы сможете уберечь себя от заражения.
В действительности, подцепить вирус вы можете даже на любимом новостном ресурсе через всякие попандеры или различные тизеры и прочую рекламу на сайте. Чтобы это предотвратить - необходимо, чтобы у вас стоял обновляющийся антивирус. Вы же со своей стороны можете выполнить следующие моменты:
1. Никогда не открывать вложения в письма и не переходить по ссылкам с этих писем, если адресат вам неизвестен. Если адресат вам известен, но письмо имеет ярко выраженный рекламный характер или из разряда - "посмотри эти фотки - ты здесь голый", то, конечно же, ни по каким ссылкам переходить не следует. Единственное, что вы можете сделать полезного в этом случае - это сообщить человеку, что он поймал вирус. Это может быть как электронное письмо, так и сообщение в Skype, ICQ, Mail.ru-агенте и прочих системах.
2. Иногда вам может прийти сообщение от "коллекторского агентства" или из "МосГорСуда" о том, что у вас какие-то неприятности - знайте, так распространяются вирусы-шифрователи, поэтому ни в коем случае не следует переходить по ссылкам и открывать вложения.
3. Обязательно обратите внимание на то, как выглядят сообщения об обнаруженных вирусах антивирусом. Запомните их внешний вид, т.к. нередко при навигации по интернету возникает сообщение, что мол обнаружен вирус, немедленно скачайте с сайта антивирус и проверьтесь. Если вы помните, как выглядит окно сообщений антивируса, то всегда сможете понять - антивирус вас предупреждает или это "обманка". Да, и антивирус никогда не будет требовать скачать с данного сайта какое-то дополнение - это первый признак вируса. Не попадайтесь, а то потом придется вызывать специалиста лечить компьютер от вируса-вымогателя.
4. Вы скачали архив с какой-то программой или ещё чем-то, но при открытии файла требуют отправить смс и получить код - ни в коем случае этого не делайте, как бы ни были убедительны доводы, приведённые в окне. Вы отправите 3 смс, стоимостью по 300 рублей каждая и внутри увидите инструкцию по скачиванию файлов с торрентов.
6. Если вы используете беспроводную сеть Wi-Fi - вам необходимо установить ключ шифрования сети. Если у вас открытая сеть, то все желающие могут к ней подключиться. Опасность состоит не в том, что кто-то, кроме вас, будет пользоваться вашим интернетом, а в том, что он попадает в вашу домашнюю сеть, в которой наверняка используются какие-то общие ресурсы, которые нежелательно выставлять на всеобщее обозрение. О создании сети с использованием технологии Wi-Fi вы так же можете прочитать статью.
Вместо подведения итогов
Теперь мы знаем, что каким бы дорогим и качественным не был наш защитник - маршрутизатор, если не принимать определенных мер, то можно заразить свой компьютер вирусом, а попутно создать угрозу для всей сети. Ну, и, конечно же, нельзя забывать о том, что ключ шифрования вашей беспроводной сети так же является очень важным фактором.
Сегодня практически в каждой квартире есть домашняя сеть, к которой подключаются стационарные компьютеры, ноутбуки, хранилища данных (NAS), медиаплееры, умные телевизоры, а также смартфоны, планшеты и другие носимые устройства. Используются либо проводные (Ethernet), либо беспроводные (Wi-Fi) соединения и протоколы TCP/IP. С развитием технологий Интернета вещей в Сеть вышла бытовая техника - холодильники, кофеварки, кондиционеры и даже электроустановочное оборудование. Благодаря решениям «Умный дом» мы можем управлять яркостью освещения, дистанционно настраивать микроклимат в помещениях, включать и выключать различные приборы - это здорово облегчает жизнь, но может создать владельцу продвинутых решений нешуточные проблемы.
К сожалению, разработчики подобных устройств пока недостаточно заботятся о безопасности своих продуктов, и количество найденных в них уязвимостей растёт как грибы после дождя. Нередки случаи, когда после выхода на рынок устройство перестаёт поддерживаться - в нашем телевизоре, к примеру, установлена прошивка 2016 года, основанная на Android 4, и производитель не собирается её обновлять. Добавляют проблем и гости: отказывать им в доступе к Wi-Fi неудобно, но и пускать в свою уютную сеть кого попало тоже не хотелось бы. Кто знает, какие вирусы могут поселиться в чужих мобильных телефонах? Всё это приводит нас к необходимости разделить домашнюю сеть на несколько изолированных сегментов. Попробуем разобраться, как это сделать, что называется, малой кровью и с наименьшими финансовыми издержками.
Изолируем сети Wi-Fi
В корпоративных сетях проблема решается просто - там есть управляемые коммутаторы с поддержкой виртуальных локальных сетей (VLAN), разнообразные маршрутизаторы, межсетевые экраны и точки беспроводного доступа - соорудить нужное количество изолированных сегментов можно за пару часов. С помощью устройства Traffic Inspector Next Generation (TING), например, задача решается буквально в несколько кликов. Достаточно подключить коммутатор гостевого сегмента сети в отдельный порт Ethernet и создать правила firewall. Для дома такой вариант не годится из-за высокой стоимости оборудования - чаще всего сетью у нас управляет одно устройство, объединяющее функции маршрутизатора, коммутатора, беспроводной точки доступа и бог знает чего ещё.
К счастью, современные бытовые роутеры (хотя их правильнее называть интернет-центрами) тоже стали очень умными и почти во всех из них, кроме разве что совсем уж бюджетных, присутствует возможность создать изолированную гостевую сеть Wi-Fi. Надёжность этой самой изоляции - вопрос для отдельной статьи, сегодня мы не будем исследовать прошивки бытовых устройств разных производителей. В качестве примера возьмём ZyXEL Keenetic Extra II. Сейчас эта линейка стала называться просто Keenetic, но в наши руки попал аппарат, выпущенный ещё под маркой ZyXEL.
Настройка через веб-интерфейс не вызовет затруднений даже у начинающих - несколько кликов, и у нас появилась отдельная беспроводная сеть со своим SSID, защитой WPA2 и паролем для доступа. В неё можно пускать гостей, а также включать телевизоры и плееры с давно не обновлявшейся прошивкой или других клиентов, которым вы не особенно доверяете. В большинстве устройств прочих производителей эта функция, повторимся, тоже присутствует и включается аналогично. Вот так, например, задача решается в прошивках роутеров D-Link с помощью мастера настройки.
Добавить гостевую сеть можно, когда устройство уже настроено и работает.
Скриншот с сайта производителя
Скриншот с сайта производителя
Изолируем сети Ethernet
Помимо подключающихся к беспроводной сети клиентов нам могут попасться устройства с проводным интерфейсом. Знатоки скажут, что для создания изолированных сегментов Ethernet используются так называемые VLAN - виртуальные локальные сети. Некоторые бытовые роутеры поддерживают эту функциональность, но здесь задача усложняется. Хотелось бы не просто сделать отдельный сегмент, нам нужно объединить порты для проводного подключения с беспроводной гостевой сетью на одном роутере. Это по зубам далеко не всякому бытовому устройству: поверхностный анализ показывает, что кроме интернет-центров Keenetic добавлять порты Ethernet в единый с сетью Wi-Fi гостевой сегмент умеют ещё модели линейки MikroTik, но процесс их настройки уже не столь очевиден. Если говорить о сравнимых по цене бытовых роутерах, решить задачу за пару кликов в веб-интерфейсе может только Keenetic.
Как видите, подопытный легко справился с проблемой, и здесь стоит обратить внимание на ещё одну интересную функцию - вы также можете изолировать беспроводных клиентов гостевой сети друг от друга. Это очень полезно: заражённый зловредом смартфон вашего приятеля выйдет в Интернет, но атаковать другие устройства даже в гостевой сети он не сможет. Если в вашем роутере есть подобная функция, стоит обязательно включить её, хотя это ограничит возможности взаимодействия клиентов - скажем, подружить телевизор с медиаплеером через Wi-Fi уже не получится, придётся использовать проводное соединение. На этом этапе наша домашняя сеть выглядит более защищённой.
Что в итоге?
Количество угроз безопасности год от года растёт, а производители умных устройств далеко не всегда уделяют достаточно внимания своевременному выпуску обновлений. В такой ситуации у нас есть только один выход - дифференциация клиентов домашней сети и создание для них изолированных сегментов. Для этого не нужно покупать оборудование за десятки тысяч рублей, с задачей вполне может справиться относительно недорогой бытовой интернет-центр. Здесь хотелось бы предостеречь читателей от покупки устройств бюджетных брендов. Железо сейчас почти у всех производителей более или менее одинаковое, а вот качество встроенного софта очень разное. Как и длительность цикла поддержки выпущенных моделей. Даже с достаточно простой задачей объединения в изолированном сегменте проводной и беспроводной сети справится далеко не каждый бытовой роутер, а у вас могут возникнуть и более сложные. Иногда требуется настройка дополнительных сегментов или DNS-фильтрация для доступа только к безопасным хостам, в больших помещениях приходится подключать клиентов Wi-Fi к гостевой сети через внешние точки доступа и т.д. и т.п. Помимо вопросов безопасности есть и другие проблемы: в публичных сетях нужно обеспечить регистрацию клиентов в соответствии с требованиями Федерального закона № 97 «Об информации, информационных технологиях и о защите информации». Недорогие устройства способны решать такие задачи, но далеко не все - функциональные возможности встроенного софта у них, повторимся, очень разные.